Im Internet tauchen weiterhin verschiedene Bedrohungen zum Thema Coronavirus auf. Und heute möchten wir Informationen über einen interessanten Fall teilen, der deutlich den Wunsch der Angreifer zeigt, ihre Gewinne zu maximieren. Die Bedrohung aus der Kategorie „2-in-1“ nennt sich CoronaVirus. Und detaillierte Informationen über die Schadsoftware sind unter dem Strich.
Die Ausnutzung des Coronavirus-Themas begann vor mehr als einem Monat. Die Angreifer nutzten das Interesse der Öffentlichkeit an Informationen über die Ausbreitung der Pandemie und die ergriffenen Maßnahmen. Im Internet sind zahlreiche Informanten, spezielle Anwendungen und gefälschte Websites aufgetaucht, die Benutzer kompromittieren, Daten stehlen und manchmal den Inhalt des Geräts verschlüsseln und ein Lösegeld verlangen. Genau das macht die mobile App „Coronavirus Tracker“, indem sie den Zugriff auf das Gerät blockiert und ein Lösegeld verlangt.
Ein weiteres Problem für die Verbreitung von Schadsoftware war die Verwechslung mit finanziellen Unterstützungsmaßnahmen. In vielen Ländern hat die Regierung den Bürgern und Wirtschaftsvertretern während der Pandemie Hilfe und Unterstützung zugesagt. Und fast nirgendwo ist es einfach und transparent, diese Hilfe zu erhalten. Darüber hinaus hoffen viele auf finanzielle Hilfe, wissen aber nicht, ob sie auf der Liste derjenigen stehen, die staatliche Zuschüsse erhalten oder nicht. Und wer bereits etwas vom Staat erhalten hat, wird weitere Hilfe kaum ablehnen.
Genau das machen sich Angreifer zunutze. Sie verschicken Briefe im Namen von Banken, Finanzaufsichtsbehörden und Sozialversicherungsbehörden und bieten Hilfe an. Sie müssen nur dem Link folgen...
Es ist nicht schwer zu erraten, dass eine Person nach dem Klicken auf eine zweifelhafte Adresse auf einer Phishing-Seite landet, auf der sie zur Eingabe ihrer Finanzdaten aufgefordert wird. Am häufigsten versuchen Angreifer gleichzeitig mit dem Öffnen einer Website, einen Computer mit einem Trojaner-Programm zu infizieren, das darauf abzielt, persönliche Daten und insbesondere Finanzinformationen zu stehlen. Manchmal enthält ein E-Mail-Anhang eine passwortgeschützte Datei, die „wichtige Informationen darüber enthält, wie Sie staatliche Unterstützung erhalten können“ in Form von Spyware oder Ransomware.
Darüber hinaus verbreiten sich neuerdings auch Programme aus der Kategorie Infostealer in sozialen Netzwerken. Wenn Sie beispielsweise ein legitimes Windows-Dienstprogramm herunterladen möchten, beispielsweise wisecleaner[.]best, ist Infostealer möglicherweise im Lieferumfang enthalten. Durch Klicken auf den Link erhält der Benutzer einen Downloader, der zusammen mit dem Dienstprogramm auch Malware herunterlädt, und die Downloadquelle wird abhängig von der Konfiguration des Computers des Opfers ausgewählt.
Coronavirus 2022
Warum haben wir diesen ganzen Ausflug gemacht? Tatsache ist, dass die neue Schadsoftware, deren Ersteller nicht lange über den Namen nachgedacht haben, einfach alles Gute aufgenommen hat und das Opfer mit zwei Arten von Angriffen gleichzeitig erfreut. Auf der einen Seite wird das Verschlüsselungsprogramm (CoronaVirus) geladen, auf der anderen der KPOT Infostealer.
CoronaVirus Ransomware
Die Ransomware selbst ist eine kleine Datei mit einer Größe von 44 KB. Die Drohung ist einfach, aber effektiv. Die ausführbare Datei kopiert sich unter einem zufälligen Namen nach %AppData%LocalTempvprdh.exeund legt außerdem den Schlüssel in der Registrierung fest WindowsCurrentVersionRun. Sobald die Kopie platziert ist, wird das Original gelöscht.
Wie die meisten Ransomware-Programme versucht CoronaVirus, lokale Backups zu löschen und das Datei-Shadowing zu deaktivieren, indem es die folgenden Systembefehle ausführt:
C:Windowssystem32VSSADMIN.EXE Delete Shadows /All /Quiet
C:Windowssystem32wbadmin.exe delete systemstatebackup -keepVersions:0 -quiet
C:Windowssystem32wbadmin.exe delete backup -keepVersions:0 -quiet
Als nächstes beginnt die Software mit der Verschlüsselung der Dateien. Der Name jeder verschlüsselten Datei enthält [email protected]__ am Anfang, und alles andere bleibt beim Alten.
Darüber hinaus ändert die Ransomware den Namen des Laufwerks C in CoronaVirus.
In jedem Verzeichnis, das dieser Virus infizieren konnte, erscheint eine CoronaVirus.txt-Datei, die Zahlungsanweisungen enthält. Das Lösegeld beträgt nur 0,008 Bitcoins oder etwa 60 US-Dollar. Ich muss sagen, das ist eine sehr bescheidene Zahl. Und hier geht es darum, dass sich der Autor entweder nicht das Ziel gesetzt hat, sehr reich zu werden ... oder im Gegenteil, er hat entschieden, dass dies ein hervorragender Betrag ist, den jeder Benutzer, der zu Hause in Selbstisolation sitzt, bezahlen kann. Stimmen Sie zu, wenn Sie nicht nach draußen gehen können, sind 60 US-Dollar, um Ihren Computer wieder zum Laufen zu bringen, nicht viel.
Darüber hinaus schreibt die neue Ransomware eine kleine ausführbare DOS-Datei in den Ordner für temporäre Dateien und registriert sie in der Registrierung unter dem BootExecute-Schlüssel, sodass beim nächsten Neustart des Computers Zahlungsanweisungen angezeigt werden. Abhängig von den Systemeinstellungen wird diese Meldung möglicherweise nicht angezeigt. Nachdem jedoch die Verschlüsselung aller Dateien abgeschlossen ist, wird der Computer automatisch neu gestartet.
KPOT-Infostealer
Zu dieser Ransomware gehört auch die KPOT-Spyware. Dieser Infostealer kann Cookies und gespeicherte Passwörter aus einer Vielzahl von Browsern sowie von auf einem PC installierten Spielen (einschließlich Steam), Jabber und Skype-Instant Messengern stehlen. Zu seinem Interessengebiet gehören auch Zugangsdaten für FTP und VPN. Nachdem er seine Arbeit getan und alles gestohlen hat, was er konnte, löscht sich der Spion mit dem folgenden Befehl:
cmd.exe /c ping 127.0.0.1 && del C:tempkpot.exe
Es handelt sich nicht mehr nur um Ransomware
Dieser Angriff, der erneut mit dem Thema der Coronavirus-Pandemie verknüpft ist, beweist einmal mehr, dass moderne Ransomware mehr als nur die Verschlüsselung Ihrer Dateien anstrebt. In diesem Fall besteht für das Opfer die Gefahr, dass Passwörter für verschiedene Websites und Portale gestohlen werden. Hochorganisierte Cyberkriminalitätsgruppen wie Maze und DoppelPaymer haben es geschafft, gestohlene persönliche Daten zu nutzen, um Benutzer zu erpressen, wenn diese nicht für die Dateiwiederherstellung bezahlen wollen. Tatsächlich sind sie plötzlich nicht mehr so wichtig, oder der Benutzer verfügt über ein Backup-System, das nicht anfällig für Ransomware-Angriffe ist.
Trotz seiner Einfachheit zeigt das neue Coronavirus deutlich, dass Cyberkriminelle auch ihr Einkommen steigern wollen und nach zusätzlichen Möglichkeiten zur Monetarisierung suchen. Die Strategie selbst ist nicht neu – seit einigen Jahren beobachten Acronis-Analysten Ransomware-Angriffe, bei denen auch Finanztrojaner auf dem Computer des Opfers installiert werden. Darüber hinaus kann ein Ransomware-Angriff unter modernen Bedingungen im Allgemeinen als Sabotage dienen, um die Aufmerksamkeit vom Hauptziel der Angreifer abzulenken – der Datenleckage.
Der Schutz vor solchen Bedrohungen lässt sich auf die eine oder andere Weise nur mit einem integrierten Ansatz zur Cyberabwehr erreichen. Und moderne Sicherheitssysteme blockieren solche Bedrohungen (und ihre beiden Komponenten) problemlos, noch bevor sie mit dem Einsatz heuristischer Algorithmen mithilfe von Technologien des maschinellen Lernens beginnen. Bei Integration in ein Backup-/Disaster-Recovery-System werden die ersten beschädigten Dateien sofort wiederhergestellt.
Für Interessierte: Hashsummen von IoC-Dateien:
CoronaVirus Ransomware: 3299f07bc0711b3587fe8a1c6bf3ee6bcbc14cb775f64b28a61d72ebcb8968d3
Kpot infostealer: a08db3b44c713a96fe07e0bfc440ca9cf2e3d152a5d13a70d6102c15004c4240
An der Umfrage können nur registrierte Benutzer teilnehmen. bitte.
Haben Sie schon einmal erlebt, dass gleichzeitig Verschlüsselung und Datendiebstahl stattfinden?
-
19,0%Ja4
-
42,9%Nr. 9
-
28,6%Wir müssen wachsamer sein6
-
9,5%Ich habe nicht einmal darüber nachgedacht2
21 Benutzer haben abgestimmt. 5 Benutzer enthielten sich der Stimme.
Source: habr.com